Programme de divulgation responsable

Nous prenons au sérieux la sécurité de nos systèmes, de nos produits, des informations de nos employés et de nos clients, et nous apprécions la communauté de la sécurité. Nous apprécions et encourageons les chercheurs en sécurité à nous contacter pour signaler les vulnérabilités potentielles identifiées dans tout produit, système ou actif appartenant à Worldline S.A., à ses affiliés et à ses filiales (ci-après dénommés "Worldline" ou "nous"/"notre"). Si vous pensez avoir identifié une faille de sécurité potentielle, veuillez la soumettre à notre programme de divulgation responsable.

Veuillez noter que Worldline n'exploite pas de programme public de recherche de bogues et que nous n'offrons pas de récompense ou de compensation en échange de la soumission de problèmes potentiels.


Lignes directrices du programme de divulgation responsable

Nous demandons à tous les chercheurs de :

  • Fassent tout leur possible pour éviter les violations de la vie privée, la dégradation de l'expérience utilisateur, la perturbation des systèmes de production et la destruction des données pendant les tests de sécurité;
  • Ne s'engagent pas dans des activités qui peuvent potentiellement ou réellement causer des dommages à Worldline, à nos clients ou à nos employés;
  • Ne pas initier de transactions financières frauduleuses;
  • Ne pas stocker, partager, compromettre ou détruire les données de Worldline ou de ses clients. Si des informations personnelles identifiables (PII) sont trouvées, vous devez immédiatement interrompre votre activité, purger les données correspondantes de votre système et contacter immédiatement Worldline. Cette étape permet de protéger toutes les données potentiellement vulnérables, ainsi que vous-même;
  • Ne vous engagez pas dans une activité qui viole (a) les lois ou réglementations européennes, fédérales ou nationales ou (b) les lois ou réglementations de tout pays où (i) les données, les actifs ou les systèmes résident, (ii) le trafic de données est acheminé ou (iii) le chercheur mène une activité de recherche;
  •  Effectuer des recherches uniquement dans le cadre défini ci-dessous;
    •  Utiliser les canaux de communication identifiés pour nous communiquer des informations sur les vulnérabilités ; et
    •  Garder les informations sur les vulnérabilités que vous avez découvertes confidentielles entre vous et Worldline.

Si vous suivez ces lignes directrices lorsque vous nous signalez un problème, nous nous engageons à :

  • Ne pas poursuivre ou soutenir une action en justice liée à votre recherche;
  • Travailler avec vous pour comprendre et résoudre le problème rapidement (y compris une confirmation initiale de votre rapport dans les 5 jours ouvrables suivant sa soumission);
  • Reconnaître votre contribution dans notre temple de la renommée des chercheurs en sécurité, si vous êtes le premier à signaler le problème et que nous apportons une modification au code ou à la configuration sur la base de ce problème. 

Politique de divulgation

  • Informez-nous dès que possible de la découverte d'un problème de sécurité potentiel, et nous ferons tout notre possible pour résoudre rapidement le problème;
  • Nous accorder un délai raisonnable pour résoudre le problème avant toute divulgation au public ou à un tiers;
  • S'efforcer de bonne foi d'éviter les violations de la vie privée, la destruction de données et l'interruption ou la dégradation de nos services. N'interagir qu'avec les comptes dont vous êtes propriétaire ou avec l'autorisation explicite du titulaire du compte. 

Qui peut participer au programme ?

Toute personne ne travaillant pas pour Worldline ou pour des partenaires de Worldline qui signale un problème de sécurité unique et ne le divulgue pas à un tiers.  

Champ d'application

  • Tout site web public détenu, exploité ou contrôlé par Worldline, y compris les applications web hébergées sur ces sites.
  • Tous les systèmes de saisie de code PIN par logiciel sur COTS accessibles aux consommateurs, y compris l'application PIN CVM elle-même ainsi que les protocoles utilisés pour communiquer entre l'application PIN CVM, le SCRP et les systèmes de surveillance dorsaux. 

Hors champ d'application

Tous les sites ou services clients hébergés par des fournisseurs et services tiers sont exclus du champ d'application.

Dans l'intérêt de la sécurité de nos utilisateurs, de notre personnel, de l'Internet en général et de vous-même en tant que chercheur en sécurité, les types de tests suivants sont exclus du champ d'application :

  • Les résultats de tests physiques tels que l'accès aux bureaux (portes ouvertes, filature, etc.)
  • Les résultats obtenus principalement par ingénierie sociale (par exemple, hameçonnage, hameçonnage vocal)
  • Les résultats provenant d'applications ou de systèmes qui ne figurent pas dans la section "Champ d'application
  • Bugs et fautes d'orthographe de l'interface utilisateur et de l'interface graphique
  • Attaques par épuisement des ressources
  • Vulnérabilités de déni de service au niveau du réseau (DoS/DDoS)
  • Vous n'exfiltrez en aucun cas des données.
  • Vous ne compromettez pas intentionnellement la vie privée ou la sécurité du personnel de Worldline ou de tiers.
  • Vous ne compromettez pas intentionnellement la propriété intellectuelle ou d'autres intérêts commerciaux ou financiers du personnel ou des entités de Worldline, ou de tiers.

Toute activité menée dans le respect de cette politique sera considérée comme une conduite autorisée et nous n'engagerons pas d'action en justice à votre encontre. Si une action en justice est engagée par un tiers contre vous en rapport avec des activités menées dans le cadre de cette politique, nous prendrons des mesures pour faire savoir que vos actions ont été menées dans le respect de cette politique.

Merci de contribuer à la sécurité de Worldline et de ses utilisateurs ! Veuillez soumettre votre rapport au programme de divulgation de Worldline sur HackerOne.